Microsoft đang cảnh báo về một số chiến dịch lừa đảo lợi dụng chủ đề liên quan đến thuế để triển khai phần mềm độc hại và đánh cắp thông tin đăng nhập.
Microsoft cho biết trong báo cáo chia sẻ với The Hacker News: "Các chiến dịch này đặc biệt sử dụng các phương pháp chuyển hướng như trình rút ngắn URL và mã QR có trong tệp đính kèm độc hại và lạm dụng các dịch vụ hợp pháp như dịch vụ lưu trữ tệp và trang hồ sơ doanh nghiệp để tránh bị phát hiện" .
Một khía cạnh đáng chú ý của các chiến dịch này là chúng dẫn đến các trang lừa đảo được phân phối thông qua nền tảng dịch vụ lừa đảo (PhaaS) có tên mã là RaccoonO365 , một nền tảng tội phạm điện tử lần đầu tiên xuất hiện vào đầu tháng 12 năm 2024.
Ngoài ra còn có trojan truy cập từ xa (RAT) như Remcos RAT, cũng như các phần mềm độc hại và khung khai thác sau khác như Latrodectus , AHKBot, GuLoader và BruteRatel C4 (BRc4).
Một chiến dịch như vậy được gã khổng lồ công nghệ phát hiện vào ngày 6 tháng 2 năm 2025, ước tính đã gửi hàng trăm email nhắm vào United States trước mùa nộp thuế để cố gắng phân phối BRc4 và Latrodectus. Hoạt động này được cho là do Storm-0249 , một nhà môi giới truy cập ban đầu trước đây được biết đến với việc phân phối BazaLoader, IcedID, Bumblebee và Emotet.
Các cuộc tấn công liên quan đến việc sử dụng tệp đính kèm PDF có chứa liên kết chuyển hướng người dùng đến một URL được rút gọn thông qua Rebrandly, cuối cùng dẫn họ đến một trang Docusign giả mạo có tùy chọn xem hoặc tải xuống tài liệu.
Microsoft cho biết: "Khi người dùng nhấp vào nút Tải xuống trên trang đích, kết quả sẽ phụ thuộc vào việc hệ thống và địa chỉ IP của họ có được phép truy cập vào giai đoạn tiếp theo hay không dựa trên các quy tắc lọc do kẻ tấn công thiết lập".
Nếu được phép truy cập, người dùng sẽ được gửi một tệp JavaScript sau đó tải xuống Microsoft Software Installer (MSI) cho BRc4, đóng vai trò là kênh dẫn để triển khai Latrodectus. Nếu nạn nhân không được coi là mục tiêu đủ giá trị, họ sẽ được gửi một tài liệu PDF lành tính từ royalegroupnyc[.]com.
Microsoft cho biết họ cũng phát hiện ra chiến dịch thứ hai từ ngày 12 đến ngày 28 tháng 2 năm 2025, trong đó các email lừa đảo có chủ đề về thuế được gửi đến hơn 2.300 tổ chức tại United States, đặc biệt nhắm vào các lĩnh vực kỹ thuật, CNTT và tư vấn.
Trong trường hợp này, email không có nội dung trong phần nội dung thư, nhưng có tệp đính kèm PDF chứa mã QR trỏ đến liên kết liên quan đến RaccoonO365 PhaaS mô phỏng trang đăng nhập Microsoft 365 để lừa người dùng nhập thông tin đăng nhập của họ.
Một dấu hiệu cho thấy các chiến dịch này xuất hiện dưới nhiều hình thức khác nhau là các email lừa đảo liên quan đến thuế cũng đã được gắn cờ là phát tán các nhóm phần mềm độc hại khác như AHKBot và GuLoader.
Chuỗi lây nhiễm AHKBot đã được phát hiện sẽ chuyển hướng người dùng đến các trang web lưu trữ tệp Microsoft Excel độc hại. Khi mở và bật macro, tệp này sẽ tải xuống và chạy tệp MSI để khởi chạy tập lệnh AutoHotKey, sau đó tải xuống mô-đun Screenshotter để chụp ảnh màn hình từ máy chủ bị xâm phạm và truyền chúng đến máy chủ từ xa.
Chiến dịch GuLoader nhằm mục đích lừa người dùng nhấp vào URL có trong tệp đính kèm PDF trong email, dẫn đến việc tải xuống tệp ZIP.
"Tệp ZIP chứa nhiều tệp .lnk được thiết lập để mô phỏng các tài liệu thuế. Nếu được người dùng khởi chạy, tệp .lnk sẽ sử dụng PowerShell để tải xuống tệp PDF và tệp .bat", Microsoft cho biết. "Tệp .bat lần lượt tải xuống tệp thực thi GuLoader, sau đó cài đặt Remcos".
Sự việc này diễn ra vài tuần sau khi Microsoft cảnh báo về một chiến dịch Storm-0249 khác chuyển hướng người dùng đến các trang web giả mạo quảng cáo Windows 11 Pro để phân phối phiên bản cập nhật của phần mềm độc hại tải Latrodectus thông qua công cụ tấn công nhóm đỏ BruteRatel.
Microsoft cho biết trong một loạt bài đăng trên X: "Kẻ tấn công có thể đã sử dụng Facebook để điều hướng lưu lượng truy cập đến các trang tải xuống Windows 11 Pro giả mạo, vì chúng tôi đã quan sát thấy URL giới thiệu của Facebook trong nhiều trường hợp".
"Latrodectus 1.9, phiên bản phát triển mới nhất của phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 2 năm 2025, đã đưa lại tác vụ theo lịch trình để duy trì hoạt động và thêm lệnh 23, cho phép thực thi các lệnh Windows thông qua 'cmd.exe /c .'"
Việc tiết lộ này cũng diễn ra sau sự gia tăng các chiến dịch sử dụng mã QR trong tài liệu lừa đảo để ngụy trang các URL độc hại như một phần của các cuộc tấn công trên diện rộng nhằm vào châu Âu và Hoa Kỳ, dẫn đến tình trạng đánh cắp thông tin đăng nhập.
"Phân tích các URL được trích xuất từ mã QR trong các chiến dịch này cho thấy kẻ tấn công thường tránh đưa vào các URL trỏ trực tiếp đến tên miền lừa đảo", Palo Alto Networks Unit 42 cho biết trong một báo cáo. "Thay vào đó, chúng thường sử dụng cơ chế chuyển hướng URL hoặc khai thác các chuyển hướng mở trên các trang web hợp pháp".
Những phát hiện này cũng xuất hiện sau một số chiến dịch lừa đảo và kỹ thuật xã hội đã được cảnh báo trong những tuần gần đây -
Sử dụng kỹ thuật trình duyệt trong trình duyệt ( BitB ) để phục vụ các cửa sổ bật lên trên trình duyệt có vẻ thực tế, lừa người chơi Counter-Strike 2 nhập thông tin đăng nhập Steam của họ với mục đích có thể là bán lại quyền truy cập vào các tài khoản này để kiếm lời
Sử dụng phần mềm độc hại đánh cắp thông tin để chiếm đoạt tài khoản MailChimp , cho phép kẻ tấn công gửi email hàng loạt
Sử dụng tệp SVG để bỏ qua bộ lọc thư rác và chuyển hướng người dùng đến các trang đăng nhập Microsoft giả mạo
Sử dụng các dịch vụ cộng tác đáng tin cậy như Adobe, DocuSign, Dropbox, Canva và Zoho để tránh các cổng email an toàn (SEG) và đánh cắp thông tin đăng nhập
Sử dụng email giả mạo các dịch vụ phát nhạc trực tuyến như Spotify và Apple Music với mục đích thu thập thông tin đăng nhập và thông tin thanh toán
Sử dụng cảnh báo bảo mật giả liên quan đến hoạt động đáng ngờ trên các thiết bị Windows và Apple Mac trên các trang web giả mạo để lừa người dùng cung cấp thông tin đăng nhập hệ thống của họ
Sử dụng các trang web giả mạo phân phối trình cài đặt Windows bị trojan hóa cho DeepSeek, i4Tools và Youdao Dictionary Desktop Edition thả Gh0st RAT
Sử dụng email lừa đảo có chủ đề thanh toán nhắm vào các công ty Tây Ban Nha để phân phối phần mềm đánh cắp thông tin có tên DarkCloud
Sử dụng email lừa đảo mạo danh một ngân hàng Romania để triển khai phần mềm đánh cắp thông tin có tên Masslogger nhắm vào các tổ chức có trụ sở tại Romania
Để giảm thiểu rủi ro do các cuộc tấn công này gây ra, điều cần thiết là các tổ chức phải áp dụng các phương pháp xác thực chống lừa đảo cho người dùng, sử dụng trình duyệt có thể chặn các trang web độc hại và bật tính năng bảo vệ mạng để ngăn các ứng dụng hoặc người dùng truy cập vào các miền độc hại.
Source: https://thehackernews.com/2025/04/microsoft-warns-of-tax-themed-email.html
Microsoft cho biết trong báo cáo chia sẻ với The Hacker News: "Các chiến dịch này đặc biệt sử dụng các phương pháp chuyển hướng như trình rút ngắn URL và mã QR có trong tệp đính kèm độc hại và lạm dụng các dịch vụ hợp pháp như dịch vụ lưu trữ tệp và trang hồ sơ doanh nghiệp để tránh bị phát hiện" .
Một khía cạnh đáng chú ý của các chiến dịch này là chúng dẫn đến các trang lừa đảo được phân phối thông qua nền tảng dịch vụ lừa đảo (PhaaS) có tên mã là RaccoonO365 , một nền tảng tội phạm điện tử lần đầu tiên xuất hiện vào đầu tháng 12 năm 2024.
Ngoài ra còn có trojan truy cập từ xa (RAT) như Remcos RAT, cũng như các phần mềm độc hại và khung khai thác sau khác như Latrodectus , AHKBot, GuLoader và BruteRatel C4 (BRc4).
Một chiến dịch như vậy được gã khổng lồ công nghệ phát hiện vào ngày 6 tháng 2 năm 2025, ước tính đã gửi hàng trăm email nhắm vào United States trước mùa nộp thuế để cố gắng phân phối BRc4 và Latrodectus. Hoạt động này được cho là do Storm-0249 , một nhà môi giới truy cập ban đầu trước đây được biết đến với việc phân phối BazaLoader, IcedID, Bumblebee và Emotet.
Các cuộc tấn công liên quan đến việc sử dụng tệp đính kèm PDF có chứa liên kết chuyển hướng người dùng đến một URL được rút gọn thông qua Rebrandly, cuối cùng dẫn họ đến một trang Docusign giả mạo có tùy chọn xem hoặc tải xuống tài liệu.
Microsoft cho biết: "Khi người dùng nhấp vào nút Tải xuống trên trang đích, kết quả sẽ phụ thuộc vào việc hệ thống và địa chỉ IP của họ có được phép truy cập vào giai đoạn tiếp theo hay không dựa trên các quy tắc lọc do kẻ tấn công thiết lập".
Nếu được phép truy cập, người dùng sẽ được gửi một tệp JavaScript sau đó tải xuống Microsoft Software Installer (MSI) cho BRc4, đóng vai trò là kênh dẫn để triển khai Latrodectus. Nếu nạn nhân không được coi là mục tiêu đủ giá trị, họ sẽ được gửi một tài liệu PDF lành tính từ royalegroupnyc[.]com.
Microsoft cho biết họ cũng phát hiện ra chiến dịch thứ hai từ ngày 12 đến ngày 28 tháng 2 năm 2025, trong đó các email lừa đảo có chủ đề về thuế được gửi đến hơn 2.300 tổ chức tại United States, đặc biệt nhắm vào các lĩnh vực kỹ thuật, CNTT và tư vấn.
Trong trường hợp này, email không có nội dung trong phần nội dung thư, nhưng có tệp đính kèm PDF chứa mã QR trỏ đến liên kết liên quan đến RaccoonO365 PhaaS mô phỏng trang đăng nhập Microsoft 365 để lừa người dùng nhập thông tin đăng nhập của họ.
Một dấu hiệu cho thấy các chiến dịch này xuất hiện dưới nhiều hình thức khác nhau là các email lừa đảo liên quan đến thuế cũng đã được gắn cờ là phát tán các nhóm phần mềm độc hại khác như AHKBot và GuLoader.
Chuỗi lây nhiễm AHKBot đã được phát hiện sẽ chuyển hướng người dùng đến các trang web lưu trữ tệp Microsoft Excel độc hại. Khi mở và bật macro, tệp này sẽ tải xuống và chạy tệp MSI để khởi chạy tập lệnh AutoHotKey, sau đó tải xuống mô-đun Screenshotter để chụp ảnh màn hình từ máy chủ bị xâm phạm và truyền chúng đến máy chủ từ xa.
Chiến dịch GuLoader nhằm mục đích lừa người dùng nhấp vào URL có trong tệp đính kèm PDF trong email, dẫn đến việc tải xuống tệp ZIP.
"Tệp ZIP chứa nhiều tệp .lnk được thiết lập để mô phỏng các tài liệu thuế. Nếu được người dùng khởi chạy, tệp .lnk sẽ sử dụng PowerShell để tải xuống tệp PDF và tệp .bat", Microsoft cho biết. "Tệp .bat lần lượt tải xuống tệp thực thi GuLoader, sau đó cài đặt Remcos".
Sự việc này diễn ra vài tuần sau khi Microsoft cảnh báo về một chiến dịch Storm-0249 khác chuyển hướng người dùng đến các trang web giả mạo quảng cáo Windows 11 Pro để phân phối phiên bản cập nhật của phần mềm độc hại tải Latrodectus thông qua công cụ tấn công nhóm đỏ BruteRatel.
Microsoft cho biết trong một loạt bài đăng trên X: "Kẻ tấn công có thể đã sử dụng Facebook để điều hướng lưu lượng truy cập đến các trang tải xuống Windows 11 Pro giả mạo, vì chúng tôi đã quan sát thấy URL giới thiệu của Facebook trong nhiều trường hợp".
"Latrodectus 1.9, phiên bản phát triển mới nhất của phần mềm độc hại này được phát hiện lần đầu tiên vào tháng 2 năm 2025, đã đưa lại tác vụ theo lịch trình để duy trì hoạt động và thêm lệnh 23, cho phép thực thi các lệnh Windows thông qua 'cmd.exe /c .'"
Việc tiết lộ này cũng diễn ra sau sự gia tăng các chiến dịch sử dụng mã QR trong tài liệu lừa đảo để ngụy trang các URL độc hại như một phần của các cuộc tấn công trên diện rộng nhằm vào châu Âu và Hoa Kỳ, dẫn đến tình trạng đánh cắp thông tin đăng nhập.
"Phân tích các URL được trích xuất từ mã QR trong các chiến dịch này cho thấy kẻ tấn công thường tránh đưa vào các URL trỏ trực tiếp đến tên miền lừa đảo", Palo Alto Networks Unit 42 cho biết trong một báo cáo. "Thay vào đó, chúng thường sử dụng cơ chế chuyển hướng URL hoặc khai thác các chuyển hướng mở trên các trang web hợp pháp".
Những phát hiện này cũng xuất hiện sau một số chiến dịch lừa đảo và kỹ thuật xã hội đã được cảnh báo trong những tuần gần đây -
Sử dụng kỹ thuật trình duyệt trong trình duyệt ( BitB ) để phục vụ các cửa sổ bật lên trên trình duyệt có vẻ thực tế, lừa người chơi Counter-Strike 2 nhập thông tin đăng nhập Steam của họ với mục đích có thể là bán lại quyền truy cập vào các tài khoản này để kiếm lời
Sử dụng phần mềm độc hại đánh cắp thông tin để chiếm đoạt tài khoản MailChimp , cho phép kẻ tấn công gửi email hàng loạt
Sử dụng tệp SVG để bỏ qua bộ lọc thư rác và chuyển hướng người dùng đến các trang đăng nhập Microsoft giả mạo
Sử dụng các dịch vụ cộng tác đáng tin cậy như Adobe, DocuSign, Dropbox, Canva và Zoho để tránh các cổng email an toàn (SEG) và đánh cắp thông tin đăng nhập
Sử dụng email giả mạo các dịch vụ phát nhạc trực tuyến như Spotify và Apple Music với mục đích thu thập thông tin đăng nhập và thông tin thanh toán
Sử dụng cảnh báo bảo mật giả liên quan đến hoạt động đáng ngờ trên các thiết bị Windows và Apple Mac trên các trang web giả mạo để lừa người dùng cung cấp thông tin đăng nhập hệ thống của họ
Sử dụng các trang web giả mạo phân phối trình cài đặt Windows bị trojan hóa cho DeepSeek, i4Tools và Youdao Dictionary Desktop Edition thả Gh0st RAT
Sử dụng email lừa đảo có chủ đề thanh toán nhắm vào các công ty Tây Ban Nha để phân phối phần mềm đánh cắp thông tin có tên DarkCloud
Sử dụng email lừa đảo mạo danh một ngân hàng Romania để triển khai phần mềm đánh cắp thông tin có tên Masslogger nhắm vào các tổ chức có trụ sở tại Romania
Để giảm thiểu rủi ro do các cuộc tấn công này gây ra, điều cần thiết là các tổ chức phải áp dụng các phương pháp xác thực chống lừa đảo cho người dùng, sử dụng trình duyệt có thể chặn các trang web độc hại và bật tính năng bảo vệ mạng để ngăn các ứng dụng hoặc người dùng truy cập vào các miền độc hại.
Source: https://thehackernews.com/2025/04/microsoft-warns-of-tax-themed-email.html
